Arjuna Kodisinghe | shutterstock.com
Im Rahmen traditioneller Incident-Response– und Recovery-Prozesse wird eine Kompromittierung identifiziert und ein “Desaster” deklariert – woraufhin die betroffenen Systeme aus dem Backup wiederhergestellt werden. Diese Abläufe erfolgen größtenteils manuell und erfordern an jedem Entscheidungspunkt menschliche Interaktion. Und sie werden durch immer raffiniertere Ransomware-Angriffe unterlaufen, bei denen auch Backups verschlüsselt werden. Die Herausforderungen:
-
Die Backup-Systeme sind speziell für finanziell motivierte Angreifer ein maßgebliches Ziel. Die wiederhergestellten Daten gründlich zu überprüfen, ist deshalb essenziell – ansonsten könnte der Recovery-Prozess ins Leere laufen (während er trotzdem kostet).
-
Ausfallzeiten verursachen für die Unternehmen enorme Kosten. Eine möglichst zeitnahe, vollständige Wiederherstellung der Betriebskapazität hat entsprechend hohe Priorität.
Mit “Cyber Recovery” hat sich inzwischen ein neuer Ansatz etabliert, um Incident Response und Recovery auf die Höhe der Zeit zu bringen. Dabei handelt es sich laut den Marktforschern von IDC weniger um Standalone-Produkte, sondern vielmehr um Angebote, die Teil einer übergreifenden Plattform oder eines anderen Produkts sind und verschiedene Funktionen kombinieren.
Die Lösungen dieser Kategorie zeichnen sich demnach in erster Linie dadurch aus, den anfänglichen Schaden eines Angriffs zu minimieren und eine möglichst effiziente Wiederherstellung zu ermöglichen. Idealerweise kommen dabei Features wie Systemüberwachung in Echtzeit, automatisierte Mitigation sowie IT-Forensik zum Einsatz. Der Recovery-Prozess selbst wird dabei in einer Sandbox initiiert. Das ermöglicht zusätzliche Analysen abseits der betroffenen Systeme und gründliche Malware-Scans.
